Vraag & Antwoord

OS Linux

teveel hack pogingen

13 antwoorden
  • hallo Mijn pc staat 24/7 aan met als services ssh en ftp In ssh is rootlogin op NO gezet in FTP staat anonymous uit Ik krijg geregeld sys-mails,, zoiets als: www.fedora-nieuws.nl/document/hack.html ik heb denyhosts en fail2ban al geinstalled Hoe kan ik deze pogingen het zwijgen oplegen Ik vindt het wel lachwekkend wat er staat, maat wil er nu gewoon vanaf ps: het IP verschilt telkens Evert
  • ssh op een andere port zetten werkt al erg goed. Mogelijk ook alleen ssh allowen op jou eigen ip ?
  • Tja, scans op poort 22 zijn altijd een drama. ikzelf heb hem op een andere poort gezet en daarna geNAT naar 22.
  • Lijkt er zwaar op dat fail2ban niet goed werkt of niet goed configged is. Kijk eens in de log van fail2ban! Vreemd dat je portsentry plat gaat. Of deed je dat zelf?
  • Waarom zou je dit soort programma's installeren, als je goede wachtwoorden gebruikt of liever nog rsa/dsa keys dan is er niets aan de hand. Gewoon je systeem keep it simple houden, en niet allerlei portscandetectors, portblockers en andere shit installeren.
  • Die discussie hebben we vaker gehad. Alleen al om de logs schoon te houden en opdringerige figuren wat extra te weren is fail2ban prima. Ik denk dat fail2ban niet correct werkt....
  • Wat Arvid zegt, daarnaast iets als: [code:1:aee76405de] /usr/sbin/iptables -A INPUT -p tcp --dport 22 --dst $EXTERNE_IP -i eth0 -m state --state NEW -m recent --set /usr/sbin/iptables -A INPUT -p tcp --dport 22 --dst $EXTERNE_IP -i eth0 -m state --state NEW -m recent --update --seconds 120 --hitcount 4 -j DROP /usr/sbin/iptables -A INPUT -p tcp --dport 22 --dst $EXTERNE_IP -i eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT [/code:1:aee76405de] Vier pogingen in twee minuten lijkt me ruim voldoende :).
  • Toch vind ik fail2ban prettig. Regelt het gelijk ook voor apache en als je wilt andere inlog-methodes. Je fail2ban-log moet er zo uitzien: http://sourceforge.net/project/screenshots.php?group_id=121032
  • Even wat leuke statistieken want het is gewoon lachwekkend, lol :D Totaal: [code:1:7d9a8dcabf] root@thor:~# cat /var/log/messages | wc -l 10901 root@thor:~# [/code:1:7d9a8dcabf] Totaal Failed password: [code:1:7d9a8dcabf] root@thor:~# grep "Failed password" /var/log/messages | wc -l 5300 root@thor:~# [/code:1:7d9a8dcabf] Totaal Invalid user: [code:1:7d9a8dcabf] root@thor:~# grep "Invalid user" /var/log/messages | wc -l 5135 root@thor:~# [/code:1:7d9a8dcabf] Dit is een volhoudertje ;) [code:1:7d9a8dcabf] root@thor:~# grep "65.19.155.219" /var/log/messages | wc -l 2768 root@thor:~# [/code:1:7d9a8dcabf] Maar deze kan er helemaal wat van ;) [code:1:7d9a8dcabf] root@thor:~# grep "213.223.116.132" /var/log/messages | wc -l 7570 root@thor:~# [/code:1:7d9a8dcabf] De size van /var/log/messages (met dank aan logrotate ;-) ) [code:1:7d9a8dcabf] root@thor:~# du -h /var/log/messages 956K /var/log/messages root@thor:~# [/code:1:7d9a8dcabf]
  • [quote:64c4bd27e7="MrLeeJohn"]Lijkt er zwaar op dat fail2ban niet goed werkt of niet goed configged is. Kijk eens in de log van fail2ban! Vreemd dat je portsentry plat gaat. Of deed je dat zelf?[/quote:64c4bd27e7] ik heb portsentry niet plat gegooid, ben er eerlijk gezegd verbaasd over dat het gebeurt. Ik heb inmiddels fail2ban iets aangepast
  • Alles weer onder controle? Wat was er mis?
  • volgens mij de config van fail2ban heb bij de config de poorten van ftp en ssh ingevulld ipv alleen de naam port. Hopelijk werkt het nu goed. hoe ziet jouw config eruit Leon??
  • Ik heb um default gelaten. Nog iets over portsentry gevonden? Hij mag alleen op poorten draaien waar geen services op luisteren he...

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.